CVE-2026-57321
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 — wyżej niż 21% wszystkich znanych CVE
Streszczenie
Wtyczka H5P w wersji 1.17.7 i starszych zawiera podatność umożliwiającą współtwórcy (contributor) usunięcie dowolnego pliku na serwerze. Luka wynika z braku odpowiedniej walidacji uprawnień podczas operacji usuwania plików.
Ocena ryzyka
Atakujący z rolą współtwórcy może usunąć krytyczne pliki systemowe lub dane, co prowadzi do przerwania działania usługi, utraty danych lub całkowitego przejęcia kontroli nad serwerem.
Rekomendacja
Niezwłocznie zaktualizuj wtyczkę H5P do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest możliwa, ogranicz uprawnienia współtwórców do minimum lub tymczasowo wyłącz funkcję usuwania plików.
Oryginalny opis (angielski, źródło NVD)
Contributor Arbitrary File Deletion in H5P <= 1.17.7 versions.

